linux 6转换系统审计日志文件

最新推荐文章于 2025-04-15 15:32:46 发布
原创 最新推荐文章于 2025-04-15 15:32:46 发布 · 2.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何将Linux审计日志文件中的时间戳转换为可读时间格式,包括使用Perl脚本和shell脚本的方法。示例展示了将审计日志(audit.log)中原始的时间格式转换为日期和时间,并将转换后的日志写入新文件(transtime.log)的过程。

在查看/var/log/audit.log日志文件的时候,没法识别时间,需要进行时间转换

1:原来的日志文件格式

type=LOGIN msg=audit(1493503801.016:68448): pid=20835 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=11216
type=USER_START msg=audit(1493503801.022:68449): user pid=20835 uid=0 auid=0 ses=11216 msg='op=PAM:session_open acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1493503801.038:68450): user pid=20835 uid=0 auid=0 ses=11216 msg='op=PAM:setcred acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1493503801.039:68451): user pid=20835 uid=0 auid=0 ses=11216 msg='op=PAM:session_close acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'

最低0.47元/天 解锁文章
LAUREL:一款功能强大的Linux事件日志审计转换工具
Jinmindong
02-06 437
io/laurel/blob/master/etc/audit/plugins.d/laurel.conf)拷贝到/etc/audisp/plugins.d/laurel.conf或/etc/audit/plugins.d/laurel.conf,具体取决于审计器版本。io/laurel/blob/master/etc/laurel/config.toml)拷贝到/etc/laurel/config.toml,并对其进行自定义配置。将LAUREL注册为一个audisp插件:将提供的[
Linux安全审计功能的实现--audit详解
我在CSND的日子
09-29 6583
实现监管企业员工的操作行为就需要开启审计功能,也就是audit,通过日志查看用户的操作行为 1、安装和开启auditd服务: 安装:yum install audit 安装后默认启动 查看运行状态: service auditd status 2、查看auditd的服务状态的另一种方式: auditctl -s e...
linux auditd审计的简单使用和理解
qq_26614295的博客
08-29 1万+
linux审计日志时间格式,linux 审计工具auditd日志audit.log时间转换查看
weixin_35977784的博客
05-06 2438
最近由于机房安全规范的要求,需要第三方软件进行系统安全审计linux操作系统默认有登陆、定时任务等审计,要查看其日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间转换成为普通时间进行查看网上普遍的做法为使用perl脚本在阅读时进行转换cat time.pls/(1\d{9})/localtime($1)/e然后使用管道命令进行转换less,more,tail -fl...
linux 审计工具auditd日志audit.log时间转换查看
weixin_33738982的博客
07-25 3558
最近由于机房安全规范的要求,需要第三方软件进行系统安全审计linux操作系统默认有登陆、定时任务等审计,要查看其日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间转换成为普通时间进行查看网上普遍的做法为使用perl脚本在阅读时进行转换cat time.pls/(1\d{9})/localtime($1)/e然后使用管道命令进行转换 les...
如何审计系统时间更改?
HHFQ的博客
07-12 925
auditd服务可用于记录触发系统时间更改的所有事件。首先检查auditd服务是否正在运行 接下来,添加一个新规则来观察系统时间变化(系统调用adjtimex、clock_settime、settimeofday和clock_adjtime) 在此示例中,为此审计规则定义了一个名为“ADJTIME”的过滤器关键字。要测试审计规则,请更改系统时间,然后在审计日志中搜索定义的关键字 示例输出如下: 备选的 systemtap 脚本 或者,可以使用 脚本,但在这里使用 不太方便,因为它需要安装 deb
Linux-服务器添加审计日志功能
xiaozhidepikaqiu的博客
04-15 1396
在 /etc/audit/rules.d/audit.rules 里面配置规则。#修改/etc/default/grub里面audit=0 改为audit=1。#查看audit软件是否在运行(状态为active而且为绿色表示已经在运行)#如果没有在运行的话,查看是否被系统禁用 (audit为0表示被禁用)#审计日志默认存储在/var/log/audit/audit.log中。success:操作是否成功(yes/no)。# 按事件类型过滤(如查看所有文件访问事件)
系统日志分析工具,可将Linux window的系统日志转发到Loganalyzer
09-27
对于Linux和Windows系统日志的处理,Loganalyzer能够无缝对接,这意味着用户无需切换工具就可以管理来自不同操作系统的日志信息。这一特性极大地提高了日志管理的效率,同时也减少了管理员在不同平台间切换的不便。 ...
Linux系统常用命令与网络、磁盘参数和日志监控.pdf
最新发布
05-22
Linux系统中,可以使用如`df`命令来查看文件系统的磁盘空间使用情况,`du`命令来检查目录和文件的大小,`iostat`命令来报告CPU统计信息和磁盘I/O统计信息,而`vmstat`和`mpstat`则用于监控虚拟内存和多处理器的...
深入了解Linux文件系统日志文件及文件删除恢复
weixin_42280882的博客
06-26 1214
本章目录一、inode和block二、软链接和硬链接三、分析日志文件四、实验部分实验环境实验任务实验内容与步骤恢复ext3文件类型恢复误删除的xfs类型文件 一、inode和block 1.概述 在Linux操作系统中,文件数据包括实际内容和属性(元信息),属性包括文件权限和文件所有者。 文件存储在硬盘上,硬盘最小存储单元是“扇区”,每个扇区存储512字节。 操作系统读取硬盘的时候,不会一个个扇区的读取,这样效率太低,而是一次性连续读取8个扇区,即一次性读取一个“块”(block),块是文件存取的最小单位。
查看日志命令,把时间戳直接转换
技术转管理历程
03-15 2282
许多日志的时间都是时间戳,需要自己转换。我用awk直接转换。 希望帮助到大家。 sed -n '/starting/p'  nagios.log | awk -F'['  '{print $2}' | awk -F']' '{print $1$2}'| awk -F' '  '{print strftime("%Y-%m-%d %H:%M:%S",$1) $0}' 
11g AUDIT的TIMESTAMP时间
ckawt40802的专栏
04-14 477
在11g中AUDIT记录中的TIMESTAMP时间戳使用的是0时区的时间。 利用YANGTK用户登陆,引发AUDIT记录: SQL> CONN YANGTK输入口令: 已连接。SQL> SELEC...
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
linux 7 messages,centos7 messages日志报错auto kernel: type=1106 audit(15426953
weixin_35473090的博客
05-17 1108
messages出现大量日志:Nov 20 14:28:29 auto kernel: type=1106 audit(1542695309.562:30513023): pid=11248 uid=0 auid=4294967295 ses=4294967295 msg=’op=PAM:session_close grantors=pam_keyinit,pam_limits acct=”roo...
linux审计日志发送,Linux审计日志
weixin_39846089的博客
05-01 1754
最近在Linux日志中发现有如下信息:vi /var/log/messagestype=CRYPTO_KEY_USER msg=audit(1448528863.866:163): user pid=7735 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destr...
linux审计功能
lishenglong666的专栏
12-16 4142
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Linux auditd主机系统安全审计服务配置技术方案
watermelonbig的专栏
04-13 1万+
Auditd是什么 Auditd是Linux审计系统的用户空间组件。Auditd是Linux审计守护进程的缩写。在Linux中,daemon被称为后台运行服务,当它在后台运行时,应用程序服务的末尾附加了一个“d”。auditd的工作是作为后台服务收集审计日志文件并将其写入磁盘。 审计系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件接收来自用户空间应用程序的系统调用,并通过以下过滤器之一对其进行过滤:user、task、fstype或exit。 一旦系统调用通过了excl
linux日志auditd,linux 审计工具auditd日志audit.log时间转换查看
weixin_31235909的博客
05-01 1295
最近由于机房安全规范的要求,需要第三方软件进行系统安全审计linux操作系统默认有登陆、定时任务等审计,要查看其日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间转换成为普通时间进行查看网上普遍的做法为使用perl脚本在阅读时进行转换cat time.pls/(1\d{9})/localtime($1)/e然后使用管道命令进行转换less,more,tail -fl...
linux 审计功能
Serene MA的博客
06-12 2659
方法-一 vim /var/log/audit/audit.log comm 参数说明: time :审计时间。 •name :审计对象 •cwd :当前路径 •syscall :相关的系统调用 •auid :审计用户ID •uid和 gid :访问文件的用户ID和用户组ID •comm :用户访问文件的命令 •exe :上面命令的可执行文件路径 方法二 自带审计功能 vim ~/.bas...
Linux系统日志文件详解与管理
Linux系统中包含了多种日志文件,而本教程主要围绕“Linux下的日志文件”进行讲解,为初学者或进阶用户介绍Linux系统中日志的基本概念、常见的日志文件、日志管理工具以及如何维护和分析这些日志文件。 首先,Linux...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值